すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:機密コンピューティング用のACK管理クラスターの作成

最終更新日:Dec 14, 2024

ブロックチェーンやキー管理などのセキュリティ要件が厳しい企業向けに、Container Service For Kubernetes (ACK) は、ハードウェア暗号化技術に基づくクラウドネイティブでオールインワンの機密コンピューティングコンテナプラットフォームを提供します。 このプラットフォームは、信頼できる実行環境 (TEE) 内での機密データとコードの安全な処理を可能にし、不正アクセスを防止し、データ侵害のリスクを軽減します。 コンソールを使用して機密コンピューティング管理クラスターを作成することで、信頼できるアプリケーションまたは機密アプリケーションの開発と管理に関連するコストを最小限に抑えながら、データの機密性を高めることができます。

前提条件

ACKが有効化され、他のクラウドリソースへのアクセスが許可されます。 詳細については、「有効化とACKへのアクセス許可の付与」をご参照ください。

制限事項

項目

制限事項

クォータ制限 /参照の増加に関するリンク

ネットワーク

ACKクラスターはVPCのみをサポートします。

VPCとは何ですか?

クラウドリソース

ECS

従量課金およびサブスクリプション課金方法がサポートされています。 ECSインスタンスの作成後、ECSコンソールで課金方法を従量課金からサブスクリプションに変更できます。

ECS インスタンスの課金方法を従量課金からサブスクリプションに変更する

VPCルートエントリ

デフォルトでは、Flannelを実行するACKクラスターのVPCに最大200のルートエントリを追加できます。 Terwayを実行するACKクラスターのVPCにはこの制限はありません。 ACKクラスターのVPCにさらにルートエントリを追加する場合は、VPCのクォータの増加をリクエストします。

クォータセンター

セキュリティグループ

デフォルトでは、各アカウントで最大100のセキュリティグループを作成できます。

リソースクォータの表示と増加

SLB instances

デフォルトでは、各アカウントで最大60の従量課金SLBインスタンスを作成できます。

クォータセンター

EIP

デフォルトでは、各アカウントで最大20のEIPを作成できます。

クォータセンター

手順

  1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

  2. [クラスターテンプレート] をクリックし、[管理クラスター] エリアで [機密コンピューティングクラスター] を選択し、[作成] をクリックします。

  3. [ACK管理クラスター] タブで、クラスターの設定を完了します。

    機密コンピューティング用のACK管理クラスターを作成するときに、次の表の必要に応じてパラメーターを設定します。 そうしないと、作成されたクラスターはIntel SGXアプリケーションを実行できません。 クラスター設定の詳細については、「ACK管理クラスターの作成」をご参照ください。

    パラメーター

    説明

    機密コンピューティング

    クラスターの機密コンピューティング機能を有効にするには、[有効化] を選択します。

    ゾーン

    Security-enhanced Compute Optimized Type c7tSecurity-enhanced General Purpose Type g7tSecurity-enhanced Memory Optimized Type r7tインスタンスファミリーのみが機密コンピューティング用のACKマネージドクラスターをサポートしています。 選択したゾーンがこれらのインスタンスファミリーをサポートしていることを確認します。 異なるリージョンおよびゾーンで使用可能なECSインスタンスタイプの詳細については、「各リージョンで使用可能なインスタンスタイプ」をご参照ください。

    Container Runtime

    containerdバージョン1.4.4以降を選択します。

    [インスタンスタイプ]

    次のインスタンスファミリーからインスタンスタイプを選択します。Security-enhanced Compute Optimized Type c7tSecurity-enhanced General Purpose Type g7tSecurity-enhanced Memory Optimized Type r7t

    説明

    Intel Ice Lakeは、Intel Software Guard Extensions Data Center attestation Primitives (SGX DCAP) に基づくリモート認証サービスのみをサポートしています。 Intel Enhanced Privacy Identification (EPID) に基づくリモート認証サービスはサポートされていません。 リモート認証サービスを使用する前に、アプリケーションを調整する必要があります。 リモート認証サービスの詳細については、「attestation-services」をご参照ください。

    オペレーティングシステム

    [Alibaba Cloud Linux 2.xxxx 64ビット (UEFI)] を選択します。

    ネットワークプラグイン

    Flannelのみがサポートされています。

  4. プロンプトに従ってパラメーターを設定した後、設定を確認し、利用規約を読んで選択し、[クラスターの作成] をクリックします。

    クラスターの作成後、ACKコンソールの [クラスター] ページでクラスターを確認できます。

    説明

    複数のノードを含むクラスターを作成するには、約10分かかります。

関連ドキュメント